Бухгалтерия как приманка: новые детали атак VasyGrek на компании РФ

Бухгалтерия как приманка: новые детали атак VasyGrek на компании РФ

F.A.C.C.T. раскрывает подробности деятельности хакера.

image

С 2020 года специалисты компании F.A.C.C.T. ведут мониторинг активности злоумышленника под псевдонимом VasyGrek, который атакует российские компании как минимум с 2016 года. Атаки начинаются с поддельных писем от бухгалтерии, содержащих финансовую тематику: «Акт Сверки», «Платежное поручение» и «1C». Эти письма содержат вредоносные вложения, которые инициируют заражение.

Злоумышленник активно использует инфицированные версии легитимных инструментов удаленного управления, таких как RMS (Remote Utilities), а также вредоносное ПО от разработчика PureCoder (PureCrypter, PureLogs и другие). Помимо этого, в арсенале VasyGrek имеются программы, доступные для покупки в публичном пространстве: MetaStealer, WarzoneRAT (Ave Maria), RedLine Stealer и другие.

В марте 2024 года компания BI.ZONE представила исследование активности VasyGrek, называя его деятельность "Fluffy Wolf". Однако, множество деталей всё ещё оставалось неизвестным.

В новой статье компания F.A.C.C.T. проливает свет на текущие угрозы для российских компаний от VasyGrek, анализируя его активность на форумах и связь с разработчиком вредоносного ПО Mr.Burns. В статтье также описана новая версия инструмента BurnsRAT и подробная информация о его создателе.

Хронология атак 2022-2024

Компания F.A.C.C.T. представила таймлайн атак VasyGrek за период 2022-2024 годов.

Актуальная цепочка заражения в 2024 году

Злоумышленник использует различные методы заражения. В некоторых атаках вместо вложенного архива используется URL-адрес, ведущий к загрузке архива. VasyGrek также меняет количество PureCrypter.Downloader, что влияет на количество вредоносных инструментов, загружаемых на систему.

Ключевые находки
  • Разбор цепочки заражения злоумышленника VasyGrek, атакующего российские компании.
  • Форумная активность VasyGrek с 2016 года и ее связь с инфраструктурой его атак.
  • Связь злоумышленника VasyGrek с разработчиком вредоносного ПО Mr.Burns.
  • История разработчика ВПО Mr.Burns, начиная с 2010 года.
  • Описание актуальной версии вредоносного ПО BurnsRAT, продаваемого на форумах и использующегося в атаках на российские компании.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас